第六章 交换机技术

第6章 交换机技术

一、组网架构

HCIP --- 交换 --- 交换机技术

分类

园区网

• 园区网 （Campus Network）是指在一个相对较小的地理区域 内，连接多个建筑物和设施的计算机网络。园区网是一个 局域网（LAN） ，其范围可以覆盖整个校园或园区，包括多个建筑物、实验室、会议室等。

• 局域网 （Local Area Network，LAN ）：是一种地理覆盖范围较小 、在相对较小 的地区内（如家庭、办公室、校园或大楼）建立的计算机网络，主要用于设备间的通信 和资源共享。通常由互联的计算机、打印机、服务器以及其他网络设备组成。

• 特点 ：覆盖的地理范围较小 。数据传输速度较快 ，适合大量数据的快速传输 。使得互联的设备可以共享资源 ，提高工作效率。在较小的范围内组建局域网所需的设备和维护成本相对较低 。可以根据需要随时添加、删除或更改设备。

• 园区网主要用于企业网络建设 。通常包含多个用户和设备，网络安全措施（如防火墙、入侵检测系统等）非常重要。

城域网

• 城域网 （Metropolitan Area Network, MAN）是一种覆盖特定城市或城镇范围的计算机网络，比局域网（LAN）覆盖的范围更广，但又小于广域网（WAN）。城域网通常用于连接城市中的多个办公室、校园、数据中心或其他建筑物，方便组织内部资源的共享和通信。

• 特点 ：范围一般从几公里到几十公里不等，能够覆盖整个城市或地区。通常提供高速数据传输 。可以通过光纤 、电缆 、无线信号等多种方式进行连接。

广域网

• 广域网 （Wide Area Network，WAN）是一种覆盖广泛地理范围的计算机网络，通常跨越城市、国家甚至多个国家，将多个局域网（LAN）或城域网（MAN）连接起来。广域网实现了地理分散的网络设备之间的通信和数据传输。

• 特点 ：范围通常可以覆盖数公里到数千公里，连接不同的地理位置 。支持高速数据传输 和互联网连接 。可能由不同类型的网络设备和技术组成，例如路由器、交换机 、通信卫星 等，主要用于国家网络建设。

园区网络

园区网络对于用网需求也有所不同。不同的园区或者企业所需要的园区网络也不相同。

组成

集线器

• 集线器（Hub）是一种简单的网络设备，用于连接多个网络设备形成局域网（LAN）。在现代网络中，集线器已逐渐被交换机（Switch）所取代。

• 最多连接16个设备。配置简单，成本相对较低。效率低 ，集线器将数据广播 到所有端口，这会导致网络拥堵 ；安全性差 ，任何连接到集线器的设备都可以接收到所有 数据，容易造成信息泄露。

交换机

• 交换机**（Switch）** 是一种常用的网络设备，用于在局域网（LAN）中连接多个网络设备。交换机能够高效地转发数据帧 ，并根据目标设备的MAC地址 进行智能路由 ，相较于集线器，交换机具有更好的性能和灵活性。

• 通过全双工通信 和独立信道 工作，减少了网络冲突，比集线器具有更高的吞吐量，性能高效 。只将数据发送到特定设备 ，避免了数据的广泛广播，安全性更高 。可以通过堆叠 或连接 其他交换机轻松扩展网络 ，可扩展性强。

路由器与交换机的区别

• 工作层级 ：路由器在OSI模型的第三层（网络层） 工作，而交换机在**第二层（数据链路层）**工作。

• 功能 ：路由器主要负责连接和转发数据包 到不同的网络 ，而交换机则主要在同一网络中 的设备之间进行数据帧的转发。

• 地址类型 ：路由器使用IP地址 进行数据转发，而交换机通常使用MAC地址。

802.1X协议

• 802.1X 是一种网络访问控制协议 ，最初由 IEEE（电气和电子工程师协会）制定，主要用于提供基于端口的网络接入认证 。它通常应用在局域网 （LAN）和无线局域网（WLAN）中，以增强网络安全性。

• 特点 ：是一系列的协议总称，X表示版本 的不同。是一种无线网络标准 ，即WIFI 。WIFI不是一个独立的网络，可以被视为有限的最后一公里，只需要将无线电波转换为电信号传递。但是无线网络的信号稳定性很差。

组网

三层架构

接入层

• 提供用户接入的接口，用来接入用户。

• 接入层的设备是最多的。

• 技术：VLAN DHCP

汇聚层

• 使用三层交换机 提高接入层设备转发效率。

• 可以做用户网关 ，其次可以实现路由转发。

• 降低核心压力 ，让部门内部 用户直接访问，无需让这部分流量去到核心。

• 技术：VLAN STP生成树 VRRP网关冗余

核心层

• 连接边界设备访问互联网。

• 企业内部 ，不同业务（部门）之间互相访问。

• 技术：OSPF

二、VLAN

定义

虚拟局域网（Virtual Local Area Network，VLAN ,）是一种在同一物理网络 上创建多个逻辑网络 的技术。VLAN允许网络管理员根据功能、团队或应用程序将网络设备进行分组，而不必依赖于物理连接。

将原本一个广播域拆分为多个虚拟的广播域。

VLAN划分

• 将接口划分VLAN --- 物理/一层VLAN

  • 基于 端口的 VLAN 划分 ，将 VID配置 映射 给 交换机的接口 ，从而实现VLAN的划分，也叫 物理/一层 VLAN。

• 将MAC地址和VLAN绑定 --- 二层VLAN

• 根据类型字段和VLAN绑定 --- 三层VLAN

数据帧

传统的以太网二型帧不携带VID。

802.1Q 帧格式 是由 IEEE 组织 创建的新帧型，即在传统以太网帧格式的源MAC和长度类型中插入一个802.1Q标准的标记。

VID

Vlan ID

• 由 IEEE（电气和电子工程师协会）制定，是用于标识不同VLAN的唯一标识符。

• 用来 区分标定 ++不同的 VLAN++ ，由 12位二进制 构成。

• 范围 0~4095，实际上使用的VID范围是 1~4094。

• 设备默认存在VLAN 1 ，并且所有接口初始都属于VLAN 1。

PVID

PVID

• PVID 是指定给定交换机端口的默认VLAN ID。

• 当一个端口的未标记帧UT帧 （即没有VLAN标签的普通以太网帧）到达该端口时，系统将该帧视为属于PVID指定的VLAN。

• 用于未标记UT帧，以确保这些帧能被正确地分配到相应的VLAN中。

Tag标签

在 IEEE 802.1Q 标准中，VLAN 标签被添加到以太网帧的头部。

通过 交换机 便会被打上 标签/VID。

• tagged帧TG ：打上 标签/VID 的 802.1Q 帧。

• untagged帧UT ：没有打上 标签/VID 的 802.1Q 帧。

区别

特性	TG帧	UT帧
VLAN 标签	包含 VLAN 标签	不包含 VLAN 标签
数据帧类型	802.1Q 标记帧	常规以太网帧
适用场景	含 VLAN 的网络，需要流量隔离	默认 VLAN，或不需要 VLAN 的网络
处理方式	由 VLAN 交换机进行处理	直接转发，不进行 VLAN 处理

链路类型

华为规定所有进入交换机 的数据必须带标签。

Access链路

• access 链路 ： 交换机到PC端之间 的链路。

• Access链路 ++只能通过++ untagged帧 ，并且这些帧只能 属于同一个 VLAN。

Trunk链路

• trunk 链路/干道 ：交换机和交换机之间 的链路。

• trunk 链路/干道 中 ++通行++ tagged帧 ，并且这些帧可以 属于多个 VLAN。

• 只允许一个 不携带标签的数据UT帧通过。

Hybrid链路

在没有指定接口链路类型的情况下，华为默认其为混合链路类型

• 华为设备 所有接口默认属于混杂Hybrid。

跨网段转发

虚拟子接口

将 路由器接口 逻辑上 划分为 多个子接口。

进入虚拟子接口 ，虚拟接口 要在 父接口 的基础下 加上 小数位。

示例：

• 若 父接口 为 0/0/0，则 子接口 为 0/0/0.1~0.9 。

• 若 父接口 为 0/0/1，则 子接口 为 0/0/1.1~1.9 。

命令

• 创建VLAN进程，范围1~4094

  • 默认存在VLAN1，所以建议从VLAN2开始

  • vlan [编号]

  • 批量创建

  • vlan batch [起始编号] to [结束编号]

  • 不带to代表指定创建

  • vlan batch [编号1] [编号n]

划分VLAN，注意要进入接口之中

• 一层VLAN，划分物理接口

• 设定接口链路类型为Access，保证发送给PC的数据不携带VID

  • port link-type access

  • 分配接口给指定VLAN

  • port default vlan [编号]

• 设定接口链路类型为Trunk，使链路通过多个VLAN的数据

  • port link-type trunk

  • 设定允许通过的VLAN进程，可以指定多个

  • port trunk allow-pass vlan [编号1] [编号n]

  • 设定允许所有VLAN进程通过

  • port trunk allow-pass vlan all

  • 修改Trunk接口默认的PVID

  • port trunk pvid vlan [编号]

• 设定接口类型为Hybrid

  • port link-type hybrid

  • 修改Hybrid接口默认的PVID

  • port hybrid pvid vlan [编号]

  • 设定允许通过的UT帧/TG帧VLAN进程，可以指定多个

  • port hybrid tagger/untagged vlan [编号1] [编号n]

• 查看VLAN信息表

  • display vlan

• 查看MAC地址表记录，进行连通测试后才会有信息

  • display mac-address

• 查看接口VLAN允许情况表

  • display port vlan active

虚拟接口

• 创建虚拟子接口

  • 虚拟接口要在父接口 的基础下加上小数位

  • interface GigabitEthernet [虚拟接口号]

• 让虚拟接口执行802.1Q 标准并管理vid 进程

  • dot1q termination vid [进程号]

• 开启 虚拟接口的arp功能 ，启动子接口

  • 虚拟子接口默认为 关闭状态

  • arp broadcast enable

• 创建虚拟VlanIf接口

  • 首先要提前创建VLAN进程

  • interface Vlanif [进程号]

配置1

VLAN配置

 ### 创建VLAN
 [L1]vlan 2
 # 批量创建，不带to表示指定创建
 [L1]vlan batch 4 to 10
 [L1]vlan batch 4 10
 # 删除VLAN
 [L1]undo vlan batch 4 to 10
 ​
 ### 划分VLAN
 ## 物理划分
 # 设定接口链路类型为Access
 [L1-GigabitEthernet0/0/2]port link-type access
 [L1-GigabitEthernet0/0/4]port link-type access
 # 分配接口给指定VLAN
 [L1-GigabitEthernet0/0/2]port default vlan 2
 [L1-GigabitEthernet0/0/4]port default vlan 2
 ​
 ### 查看VLAN信息表，此时成功划分广播域
 [L1]display vlan
 ​
 # 在各个PC上进行连通测试，只有同一广播域的设备才能连通，即PC1和PC4
 PC>ping 192.168.1.1
 ...
 ### 查看MAC地址表，进行连通测试后才会有信息
 [L1]display mac-address

如果一段链路需要通过多个VLAN的数据时，就需要配置trunk链路。

 ### 设定接口链路类型为Trunk
 [L1-GigabitEthernet0/0/1]port link-type trunk
 ​
 ### 设定允许通过的VLAN进程
 [L1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 4 5
 ​
 ## L2配置
 [L2]vlan batch 2 3 4
 # Trunk链路
 [L2-GigabitEthernet0/0/1]port link-type trunk
 # PC3分配VLAN4
 [L2-GigabitEthernet0/0/2]port link-type access
 [L2-GigabitEthernet0/0/2]port default vlan 4
 # PC5分配VLAN2
 [L2-GigabitEthernet0/0/3]port link-type access
 [L2-GigabitEthernet0/0/3]port default vlan 2
 ​
 # 查看VLAN表，成功划分广播域
 [L1]display vlan
 ​
 ### 查看接口VLAN允许情况表
 [L1]display port vlan active
 ​
 ### 修改trunk接口默认的PVID
 [L1-GigabitEthernet0/0/1]port trunk pvid vlan 2
 # 修改后再次查表发现UT帧vlan随PVID改变

配置2

使PC7不能访问PC8，即vlan2可以访问3和4，vlan3不能访问4。

 # 创建vlan进程
 [L3]vlan batch 2 to 4
 ​
 ### 设置接口链路类型为混杂，不改默认也是混杂
 [L3-GigabitEthernet0/0/2]port link-type hybrid
 ### 修改接口默认PVID，允许vlan2通过
 [L3-GigabitEthernet0/0/2]port hybrid pvid vlan 2
 ### 允许vlan2、3、4的UT帧流量通过
 [L3-GigabitEthernet0/0/2]port hybrid untagged vlan 2 3 4
 ​
 ## PC7配置
 [L3-GigabitEthernet0/0/3]port link-type hybrid
 [L3-GigabitEthernet0/0/3]port hybrid pvid vlan 3
 [L3-GigabitEthernet0/0/3]port hybrid untagged vlan 2 3
 ​
 ## 接口1配置为trunk
 [L3-GigabitEthernet0/0/1]port link-type trunk
 # 放通vlan
 [L3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3 4
 ​
 # 查表检查状态，经过trunk接口都会打上标签
 [L3]display port vlan active

根据接口活动表进行放通vlan正常进行接收和访问，无论是否携带标签；经过LSW3的trunk接口1的数据都会打上对应的vlan标签，只有允许的vlan标签才能进入对应的接口。

 # LSW4配置
 [L4]vlan batch 2 3 4
 ​
 ### 这里我们用hybrid接口来模拟trunk接口
 # 修改接口默认PVID，允许vlan2通过
 [L4-GigabitEthernet0/0/1]port hybrid pvid vlan 2
 # 规定不携带标签的vlan
 [L4-GigabitEthernet0/0/1]port hybrid untagged vlan 1
 # 规定携带标签的vlan
 [L4-GigabitEthernet0/0/1]port hybrid tagged vlan 2 3 4
 ​
 ## 配置PC8
 [L4-GigabitEthernet0/0/2]port link-type hybrid
 [L4-GigabitEthernet0/0/2]port hybrid pvid vlan 4
 # 放通vlan2和4的流量，不连通vlan3（PC7）
 [L4-GigabitEthernet0/0/2]port hybrid untagged vlan 2 4
 ​
 # 查表检查状态
 [L3]display port vlan active
 ​
 # 此时只有PC7无法连通PC8，其他PC均可互相连通
 PC>ping 192.168.1.8

跨网段转发

我们在配置1的基础上加上一台路由器。让右侧线路只服务于vlan3，左侧服务与vlan2和4。

 # 左侧放通多个vlan，选择trunk链路
 [L1-GigabitEthernet0/0/5]port link-type trunk
 [L1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 4
 # 右侧只放通vlan3，选择access链路
 [L1-GigabitEthernet0/0/6]port link-type access
 [L1-GigabitEthernet0/0/6]port default vlan 3
 # 接口3放通vlan3
 [L1-GigabitEthernet0/0/3]port link-type access
 [L1-GigabitEthernet0/0/3]port default vlan 3
 ## 路由器配置
 [R1-GigabitEthernet0/0/1]ip address 192.168.2.1 24
 # 此时PC2成功访问网关2.1
 PC>ping 192.168.2.1
 ​
 ### 创建虚拟子接口，因为左侧线路要分配给两个vlan不够用
 [R1]interface GigabitEthernet 0/0/0.1
 [R1-GigabitEthernet0/0/0.1]ip address 192.168.1.1 24
 ### 执行802.1Q标准并管理vid进程
 [R1-GigabitEthernet0/0/0.1]dot1q termination vid 2
 ​
 ### 开启虚拟接口arp伪广播功能，默认是关闭状态
 [R1-GigabitEthernet0/0/0.1]arp broadcast enable
 # 此时PC1成功访问网关1.1
 PC>ping 192.168.1.1
 ​
 ## 同理分配vlan4
 [R1]int g 0/0/0.2
 [R1-GigabitEthernet0/0/0.2]ip address 192.168.3.1 24
 [R1-GigabitEthernet0/0/0.2]dot1q termination vid 4
 [R1-GigabitEthernet0/0/0.2]arp broadcast enable
 # 此时PC3成功访问3.3
 PC>ping 192.168.3.3

三层交换机

 # 创建vlan进程
 [SW1]vlan batch 2 3
 [SW2]vlan batch 2 3
 [SW3]vlan batch 2 3
 ​
 ## 放通单个vlan选择access接口
 [SW1-GigabitEthernet0/0/3]port link-type access
 [SW1-GigabitEthernet0/0/3]port default vlan 2
 [SW1-GigabitEthernet0/0/4]port link-type access
 [SW1-GigabitEthernet0/0/4]port default vlan 2
 [SW2-GigabitEthernet0/0/2]port link-type access
 [SW2-GigabitEthernet0/0/2]port default vlan 3
 ​
 ## 放通多个vlan选择trunk接口
 [SW1-GigabitEthernet0/0/2]port link-type trunk
 ### 可以选择放通全部vlan，这里只有2和3
 [SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
 [SW1-GigabitEthernet0/0/1]port link-type trunk
 [SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
 ## 注意两端都要放通
 [SW2-GigabitEthernet0/0/1]port link-type trunk
 [SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
 ​
 # 查表检查接口状态
 [SW1]display port vlan active

交换机不能像路由器一样直接在接口配置IP地址，需要结合VLAN创建虚拟VlanIf接口。

 ### 创建虚拟Vlanif接口，注意要先创建vlan进程
 [SW3]interface Vlanif 2
 ​
 # 只有创建了虚拟接口交换机才能正常配置IP地址
 [SW3-Vlanif2]ip address 192.168.1.1 24
 # 此时虚拟接口物理和协议状态均为down，必须在物理接口放通对应的vlan才行
 [SW3]interface Vlanif 3
 [SW3-Vlanif3]ip address 192.168.2.1 24
 ​
 ## 物理接口放通vlan，激活虚拟接口
 [SW3-GigabitEthernet0/0/1]port link-type trunk
 [SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
 ​
 # 同网段转发，PC1连通PC2
 PC>ping 192.168.1.3
 # 跨网段转发，PC1连通PC3
 PC>ping 192.168.2.2

三、实验

VLAN综合实验

要求：

1. PC1和PC3所在接口为Access，属于vlan2；

   PC2/4/5/6处于同一网段，其中PC2可以正常访问PC4/5/6；PC4可以访问PC5但不能访问PC6

2. PC5不能访问PC6

3. PC1/3与PC2/4/5/6不在同一网段

4. 所有PC通过DHCP获取IP地址，且PC1/3可以正常访问PC2/4/5/6

配置

 # 
 ​
 ​
 ​
 ​
 ​
 ​
 ​
 ​
 ​

# 

# 

# 

# 

#